网站建设和运营往往都绕不开木马的问题，很多网站刚刚有所起色就被黑客攻击了，导致网站内容被篡改或者是网站打不开等等问题，这就让人很头疼。今天我们就一起了解一下Webshell，以及攻击者是如何入侵我们的系统，当我们的网站被攻击时，怎么才能降低损失。

常见攻击方式有：直接上传获取webshell、SQL注入、远程文件包含(RFI)、FTP，甚至使用跨站点脚本(XSS)作为攻击的一部分，甚至一些比较老旧的方法利用后台数据库备份及恢复获取webshell、数据库压缩等。通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。

什么是WebShell木马？

WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。黑客在入侵网站后，通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者WEB系统服务器的目的。这样就可以上传下载文件、查看数据库、执行任意程序命令等。

Webshell分类

webshell从协议上来看,最开始基于 TCP、UDP 的 Shell,到后来基于ICMP 的 Shell和基于DNS 的shell 。从依托工具上看,有 nc 反弹、telnet 反弹、SSH 端口转发等手段,极度猥琐的甚至还有利用 awk 的反弹 Shell。从语言上看,各种流行的语言都能用来写后门,从bash 到 3P(Perl Python PHP)再到 Ruby 和 Java。

利用数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能，黑客可以通过执行select..in To outfile 查询输出php文件，然后通过把代码插入到mysql，从而导致生成了webshell的木马。
 

 

webshell防御

从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。 

1.建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2.对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

3.asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4.到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

5.要尽量保持程序是最新版本。

6.不要在网页上加注后台管理程序登陆页面的链接。
 

 

7.为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

8.要时常备份数据库等重要文件。

9.日常要多维护，并注意空间中是否有来历不明的asp文件。

10.尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

11.利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。